首页
□ 姜英超
企业存在大规模个人信息侵权的行为,应当承担何种民事责任,损害赔偿的范围又该如何确定?本文结合一则案例进行具体分析。
【案情】
公益诉讼起诉人上海市检二分院起诉请求:请求法院判令某文化传播公司停止采用侵害公民个人信息的方式开展经营活动、永久删除非法获取的公民个人信息、赔偿损失37万余元、在国家级新闻媒体上公开赔礼道歉。
被告某文化传播公司辩称,被告只是个人信息间接获得者,对于辛某非法获得的个人信息,被告不知情,要求被告进行赔偿以及赔偿金额的确定缺乏依据。
上海二中院经审理查明:被告的经营模式是与医美机构合作,由被告向医美机构提供有整容意向的客户信息,客户成功消费后,医美机构向被告按照客户消费金额的30%比例返利。被告登记的客户信息包括姓名、电话号码、消费预算、预手术项目、预约时间等,少部分登记信息记载客户所在城市。被告获取客户个人信息分为直接获取和间接获取,间接获取的信息由兼职代理提供。
杨浦区法院审理辛某犯侵犯公民个人信息罪一案,该判决认定被告人辛某为牟利,利用其在某公司工作的便利条件获取顾客信息,并私自将上述信息提供给某文化传播公司运营的网络平台,由该平台再将信息派发给医美机构招揽顾客。辛某在顾客成功消费后获取某文化传播公司给予的消费额一定比例的佣金返利。经核查,辛某提供给某文化传播公司的公民个人信息为6263条,某文化传播公司获返点佣金金额为37万余元。
【审判】
上海二中院生效裁判认为,本案的争议焦点有如下几点:
一、被告是否存在侵犯众多公民个人信息权益的行为。
个人信息保护立法的重要目的在于保障个人信息主体有效掌控与自身密切相关、影响个人人身以及财产安全的信息,在个人信息主体与个人信息处理者之间达到一种利益平衡,既保障个人信息、数据安全,又促进个人信息、数据等的合法流转。本案中,被告所从事的间接获取个人信息的经营模式,从辛某案件可见,绝大部分均是违法获取的案外公司的客户信息。从本案证据分析,被告在信息来源的合法性确认、授权同意范围、个人信息主体的明示同意等三个方面,均未履行民法典以及个人信息保护法规定的个人信息保护义务,在涉案个人信息收集、存储、使用、传输、提供方面均存在违法行为,起诉人主张的侵权事实成立。同时,涉案个人信息数量多、范围广、规模大,被告的涉案经营模式潜在侵权危害性极为明显,起诉人诉请要求判令被告停止采用侵害公民个人信息的方式开展经营活动,依法予以支持。
二、被告应承担何种民事责任。
民事主体依照法律规定或者按照当事人约定,履行民事义务,承担民事责任。结合本案在案证据以及实际情况,被告应承担如下民事责任:第一,停止侵害,被告应采取措施将涉案个人信息彻底删除。第二,赔偿损失。处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。本案中,被告侵害了众多个人信息主体的权益,同时将该行为作为其重要经营模式,应依法承担损害赔偿责任。第三,赔礼道歉。本案中,被告的行为具有持续性,规模较大,影响面较广,造成了社会公共利益在一定程度上的损害。起诉人作为法律规定的诉讼主体,有权要求被告赔礼道歉。
三、被告承担损害赔偿责任的范围。
本案中,起诉人提供的证据可以证明被告存在获益情况以及具体的获益金额,故对被告违法获益金额37万余元予以认定。被告的行为侵害了众多个人信息主体权益,对社会公共利益造成了损害,根据《个人信息保护法》第六十九条第二款规定,被告存在可确定的获益金额,考虑到本案实际案情,可以作为被告承担赔偿责任的具体标准。因此,起诉人以被告获益具体金额为基础,主张被告赔偿损失37万余元有相应依据,依法予以支持。
综上,法院依法判决某文化传播公司停止采用侵害公民个人信息的方式开展经营活动、永久删除非法获取的公民个人信息、公开赔礼道歉、赔偿损失37万余元。
【评析】
企业大规模个人信息侵权行为通常借助信息技术手段,带有规模性、隐蔽性特征,个人通过诉讼活动取证和维权难度大、成本高,故法律规定有关机关可以提起民事公益诉讼。此类案件中,侵权行为是否具有公益侵害性、责任承担及赔偿标准,均是审判实践中争议较大的问题。以下结合本案案情,针对相关问题进行分析。
侵权行为公益侵害性之辨析
企业大规模个人信息侵权案件中,被侵权主体往往数量众多,但通过调查核实可以将数量加以固定。公益诉讼出于保护公益之目的,原告起诉应当以侵权行为侵害的是公共利益为前提。因此,对于《个人信息保护法》第七十条“众多个人的权益”应当进一步阐释其内涵和外延,使其与公益诉讼制度目的和立法原意协调适应。
第一,“众多个人”内涵的形式认定。
从形式要件来看,权益受损的个人应当达到“众多”标准,是公民个人信息保护民事公益诉讼法定的形式要件。从立法体系来看,民事诉讼法中除了公益诉讼制度涉及“众多”的要件外,共同诉讼制度中也存在“众多”的要件,且通过司法解释的形式明确了共同诉讼制度中的“人数众多”一般指十人以上。公益诉讼制度与共同诉讼制度均规定在《民事诉讼法》第五章,对于个人信息保护公益诉讼制度中“众多”这一形式要件的理解,应从公共利益角度出发将其内涵理解为包含特定多数人为宜,不能将被侵权主体数量特定的大规模侵权情形排除在公益诉讼制度保护范围之外。
第二,“众多个人权益”外延的实质把握。
从权益实质来看,公共利益不是简单个体利益的叠加,而是个体利益之上的抽象利益。企业侵害众多公民个人信息的行为,通常对应着非法牟利的商业模式,其侵权行为除了对涉案的公民个人信息造成实然侵害外,其经营模式也对潜在不特定的公民个人信息权益造成威胁。因此,对于《个人信息保护法》第七十条“众多个人权益”的理解,应将社会公众中潜在受害者的个人信息权益纳入其外延,方能达到通过公益诉讼制度对个人信息权益进行周延保护的效果。
第三,“众多个人权益”的立法原意考察。
《民事诉讼法》第五十八条直接将“侵害众多消费者合法权益”定性为“损害社会公共利益”,对于公民个人信息保护民事公益诉讼具有类比参照效果。
不难看出,立法原意对于“公共利益”与“众多个人权益”理解为包含与被包含的关系,侵害众多个人权益显然属于侵害公共利益,但公共利益远非众多个人权益可以概括。该理解符合《民事诉讼法》第五十八条“等损害社会公共利益”的表述结构,也符合理论界对该条的“等”字是“等内等”还是“等外等”进行讨论的基本逻辑。
民事责任及损害赔偿之认定
对于是否应适用赔偿损失这一民事责任承担方式的争议,笔者认为应予适用。理由在于:一方面,赔偿损失是个人信息侵权类案件的法定赔偿方式,法律依据为《个人信息保护法》第六十九条。即便侵权后果难以通过科学评估的方式进行量化和计算,亦可以根据《个人信息保护法》第六十九条规定依据侵权人获益标准来认定赔偿数额。另一方面,企业大规模侵害个人信息权益具有隐蔽性、违法成本低的特点,但其社会危害性强,严重影响民众生活安宁和公众安全感,阻碍个人信息数据正常流通。在风险和成本两相比较之下,判令侵权人赔偿损失可以达到提高侵权成本、遏制侵权现象的效果。
对于如何确定损害赔偿的标准,笔者认为,由于被侵权人所受损失难以客观量化,可以参照侵权人所获利益作为赔偿标准,必要时由人民法院在法定最高赔偿限额内予以酌定。在具体适用个《人信息保护法》第六十九条时,仍应注意如下问题。一方面,对于酌定赔偿时的考量因素,应当根据现有司法解释规定,结合侵权行为、过错程度、社会影响范围、维权成本等情况,对赔偿金额加以确定。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条对此进行了有益探索。另一方面,惩罚性赔偿制度具有法定性,在个人信息保护民事公益诉讼中应当谨慎适用。目前我国法律在个人信息侵权领域并无相关规定,考虑到根据侵权人所获利益确定经济赔偿已经具有一定惩罚性,足以达到惩戒侵权效果,故而笔者认为,在并无相关法律依据的前提下,个人信息公益诉讼案件中仍应谨慎适用惩罚性赔偿。
(作者单位:上海市第二中级人民法院)
放大
上一版
